Unidad Temática 1 1

UNIDAD TEMÁTICA 1:
INTRODUCCIÓN A LA SEGURIDAD
DE LA INFORMACIÓN

1. Introducción a la Seguridad de la Información

La Seguridad Informática nace como la necesidad de protección de los activos, tangibles e
intangibles, que las organizaciones ponen en manos de una herramienta de gran poder y extrema
debilidad.

Sin duda el crecimiento explosivo del Hardware y en menor medida del Software, ha sometido a las
organizaciones a la dictadura de la Informática, sin cuya eficiencia ya no se concibe su actuación en
un mercado moderno y competitivo; pero al mismo tiempo la falta de conceptos de Seguridad
respecto a las ventajas comerciales que la provisión indiscriminada de elementos informáticos
aporta a sus fabricantes, ha dejado a las organizaciones en un estado de indefensión ante ataques a
la confidencialidad, la integridad y hasta la confiabilidad de las informaciones que manejan.

Al comenzar a reconocerse estos fenómenos, la especialidad de Seguridad Informática tiene un gran

crecimiento en los últimos años y se puede pronosticar que lo tendrá aún mayor cuando se
generalice en la conciencia de los usuarios la importancia de tener niveles de seguridad adecuados
no sólo en el procesamiento de sus datos, sino también en todos los aspectos asociados, desde el
Gerenciamiento del área hasta el diseño de las instalaciones secundarias, dado que es en el conjunto
de actividades informáticas donde reside la mayor probabilidad de daño por funcionalidad
inadecuada o permeabilidad a los ataques externos que deba soportar cualquier organización.

En el estudio de esta especialidad también se han cometido errores, propios del inicio de una técnica
aún difusa en muchos de sus aspectos. Por ejemplo, la mayor parte de la bibliografía pretende
asociar la Seguridad Informática casi exclusivamente a la Criptografía y a sus algoritmos
funcionales, dejando de lado otros aspectos de tanta o mayor importancia. El presente trabajo trata
de aunar todos los conceptos interdisciplinarios que comprende la especialidad, asociando la
experiencia, la teoría y las novedades que surgen permanentemente, dejando aclarado que cada

 Ing. Daniel Maldonado

Unidad Temática 1 2

nuevo producto que aparece en el campo informático deberá tener su nuevo y propio estudio de
Seguridad, que adapte las actuales técnicas activas y pasivas a las características de sus
innovaciones.

Finalmente, debe recordarse que la Seguridad Informática es básicamente un concepto y como tal
depende de quien la aplique; sin duda el punto mas importante es la inclusión de sus pautas en el
Diseño de los Sistemas, el cual, además de lograr eficiencia utilizando al máximo las herramientas
que las configuraciones disponibles le ofrezcan, debe contemplar las aplicaciones de Seguridad que
esas configuraciones permiten y completarlas con las propias características operativas del Sistema
en caso de ser necesario.

2. La seguridad como proceso de negocio

Desarrollar, comunicar, distribuir, vender, cobrar, comprar, pagar e investigar son – entre otras – las
actividades estándares a las que están abocadas las empresas, que buscar la forma de hacerlo cada
vez mejor y más rápido. Todas y cada una de ellas pueden ser mejoradas y, por ello, marcar una
diferencia que signifique una enorme ventaja competitiva. Como ya hemos dicho, no innovar en
estos aspectos puede significar el fin.

Es aquí donde la tecnología juego un rol fundamental. No como un fin en sí mismo, sino como un
medio para lograr los objetivos propuestos.

El rol fundamentar que ha tomado la tecnología en los últimos años es decisivo en todo aspecto.
Desde una red de defensa de un país, naves no tripuladas o banca electrónica, hasta llegar a las
redes sociales o los utilitarios empleados en nuestros hogares, habiéndose marcado un rumbo del
que no hay regreso.

Pero, evidentemente, no son de igual importancia los sistemas de una base aeroespacial o de una
central atómica, que las de una red social para búsqueda de amigos. Tampoco es de igual interés
para aquellos que atentan contra éstos.

A partir de este punto, es fundamental y absolutamente necesario apartarse y abstraerse de la

tecnología por un momento y comenzar a entender el negocio en el que estamos inmersos.

Debemos entender que no estamos produciendo tecnología como último fin, sino soportando
procesos de negocios. Estamos proveyendo a las organizaciones servicios que les permiten
desarrollar sus estrategias.

Y, dentro de los servicios que ofrecemos, la seguridad es uno de ellos. Pero la seguridad, si bien
tiene una fuerte base en la tecnología, tiene por objetivo asegurar que la compañía administre los
riesgos de sus procesos de negocios.

La pregunta de rigor es ¿qué vendemos cuando vendemos seguridad? Lo primero que se nos viene a
la mente es: tranquilidad.

Entender quién es nuestro cliente y qué necesita, es una ardua tarea para la que no hemos sido
preparados adecuadamente. Sin embargo, como profesionales, estamos ofreciendo un servicio que
alguien necesita. ¿Compraría usted algo que no necesita? Probablemente no. Sin embargo muchas

 Ing. Daniel Maldonado

Unidad Temática 1 3

veces lo hacemos, luego queda arrumbado en un rincón y no sabemos qué hacer con eso, hasta que
lo tiramos.

¿Qués es lo que queremos para nosotros como profesionales? Quedar arrumbados en un rincón,
seguramente que no. Queremos ofrecer servicios de alto valor agregado, que nuestros clientes
querrán obtener y, por supuesto, pagar muy bien por ellos. Para esto, es necesario identificar nuestro
cliente y entender que necesita, para ofrecerles eso y algo más.

Un buen informe, que es nuestro producto físico, debe estar acompañado de información que
permite tomar decisiones; allí aparece nuestro producto de valor. La paranoia nos acompaña como
producto imaginario y aveces no tanto.

El producto imaginario no es más que la sensación de que la información de la empresa se

encuentra segura, dentro de parámetros razonables, y a un costo muy conveniente.

3. Definición General de Seguridad

"Seguridad es todo aquello que permite defenderse de una amenaza".

Se considera que algo está seguro si ninguna amenaza se cierne sobre ello o el riesgo que las
existentes lleguen a materializarse es despreciable.

La Seguridad Informática

“Es la rama de la Seguridad que se ocupa de los procesos informáticos, su operación, diseño y
correlación con los Sistemas Administrativos en los que actúan”.

En la Seguridad Informática son evaluados fundamentalmente los riesgos en el Diseño y la

Operación de los Sistemas Informáticos, tratando de lograr un equilibrio entre el costo de los
controles necesarios para evitar que los procesos se conviertan en amenazas y el costo de la
concreción de las mismas.

La importancia de los daños que se pueden causar esta dado no sólo por la importancia de los
Sistemas Informáticos ya descripta sino también por la variedad de sus causas, yendo desde errores
humanos hasta sabotajes, robos de información, cataclismos, fraudes, fallos en equipos y virus.

4. La seguridad como profesión

Ser un profesional de la seguridad informática es una tarea bastante particular, debido a que, como
veremos más adelante, nos llevará a tener relación con todas la áreas de una empresa.

Es imperativo que tengamos un conocimiento amplio acerca de cómo funciona la organización para
la que estamos trabajando, sus procesos de negocios, sus objetivos y otros aspectos. Solo de esta
manera podremos tener una visión global acerca de cómo es adecuado proteger la información con
la que trabajamos.

 Ing. Daniel Maldonado

Unidad Temática 1 4

Esta es una profesión para la cuál precisamos estudiar una gran cantidad de material, teniendo en
mente varios estándares y metodologías, lo que puede llevarnos a pensar solamente en lo que
debería hacerse y olvidarnos de lo que pueden hacerse. Lo que debería hacerse es exactamente lo
que dice la norma ISO 27000.

Si nos detenemos a pensar, esta es una norma escrita por profesionales destacados, con una amplia
experiencia y un entendimiento claro de lo que es la seguridad de la información.

Lo que puede hacerse son las mejores prácticas que podemos implementar, muchas veces,
basándonos en normas como la ISO 27000, pero considerando que nuestros recursos son limitados.
Incluso en las organizaciones más grandes, los recursos tienen un límite; la única diferencia es la
cantidad de ceros a la derecha que tienen esos límites.

Aquí entra en juego nuestra capacidad para poner los pies sobre la tierra y discernir entro lo que
dice una norma de mejores prácticas acerca de todo lo que debería hacerse para proteger la
información de un organización, y los recursos con lo que cuenta una entidad para implementar
medidas de seguridad, sin entrar en quiebra para tener que realizar duchas inversiones.

Tengamos en cuenta que los objetivos de las organizaciones son variados: captar más cliente, ganar
más dinero, brindar mejore servicios, tener los costos más bajos y otros, pero no existe ninguna
organización en la que el objetivo principal sea “tener las mejores medidas de seguridad”.

Como todo individuo de una organización, nuestro trabajo es ayudar que este alcance sus objetivos.
Nosotros lo haremos implementando las medidas de seguridad adecuadas, para evitar pérdida de
datos, robo de información y fraudes.

Teniendo esto en cuenta, seremos profesionales que aporten verdadero valor a la organización y
estaremos muy bien vistos en todos los niveles jerárquicos de la empresa.

“Tener la capacidad de asegurar un sistema implica tener el entendimiento de cómo este

funciona”.

5. El mercado de la seguridad de la información

Está implícito que, si hemos elegido esta carrera, tenemos una gran afición por los avances
tecnológicos y estudio de los sistemas.

Por lo tanto, es preciso esta ampliamente capacitados en varias tecnologías, y mantener un estudio
constante acerca de los cambios y las nuevas posibilidades que se abren año tras año. En varias
carreras, para tener éxito necesitaremos alcanzar algo que se llama superespecializamiento
extremadamente avanzado acerca de un tema específico. Por ejemplo, hay profesionales que están
superespecializados en tecnologías de storage. Esto les permite ser primer nivel con la capacidad de
solucionar prácticamente cualquier tipo de problemas que pueda surgir dentro de su área de estudio.

En el caso de la seguridad informática, la superespecialización no sirve. Estamos hablando de una

carrera en la cuál necesitamos trabajar con todas las tecnologías que utiliza una organización: las
redes, los sistemas operativos, el storage, las aplicaciones, etc. Pero obviamente, no podemos ser
expertos en todo, sino que será preferible tener un entendimiento amplio de cada una de estas

 Ing. Daniel Maldonado

Unidad Temática 1 5

tecnologías. Esto nos dará una visión abarcativa de todo la infraestructura tecnológica, con lo cuál
tendremos la capacidad de implementar soluciones de seguridad para toda la organización en cuenta
todos los aspectos que la afectan.

6. Títulos y Certificaciones profesionales

La industria tecnológica tiene la particularidad de que no es necesario contar con títulos o
certificaciones que avalen nuestros conocimientos para que podamos ser profesiones.

Si bien este tipo de reconocimientos puede abrirnos las puertas a diferentes oportunidades laborales,
no son totalmente necesarios. Tomando otras carreras como ejemplo, ya sea la medicina, la
abogacía o la contaduría, todas requieren obligatoriamente el título de grado para poder ejercer.
Dicho esto, muchas veces surge el interrogante de si es necesario o no poseer certificaciones que
acrediten nuestras competencias profesionales. Aquí como en muchas otras cuestiones, la respuesta
es: "depende". Siempre debemos tener en cuenta el costo y el beneficio asociado a tener una
acreditación. El costo puede ser económico, el tiempo de estudio que nos demande, etc. También
debemos considerar el cargo profesional al que apuntamos, debido a que en ciertas organizaciones
es imprescindible tener un titulo para obtener trabajo.

Certified Ethical Hacker por EC-Council

CEH ofrece un amplio programa de hacking ético y de formación de seguridad en redes para
cumplir con los más altos estándares para profesionales.

Cientos de pymes y autores han contribuido al contenido que se presenta en el material pedagógico
del CEH. En cada pack se ofrecen las últimas herramientas y exploits descubiertos en la comunidad
underground. Sus investigadores han invertido miles de horas analizando las últimas tendencias y
descubriendo las técnicas secretas utilizadas.

CEH Ethical Hacking es una certificación de nivel intermedio desarrollada y promovida por el
International Council of Electronic Commerce Consultants (EC-Council). Esta certificación se ha
convertido en el estándar por defecto de todos aquellos profesionales que quieren convertirse en
Hacker Ético.

El profesional que obtiene la certificación CEH Ethical Hacking posee habilidades y conocimientos
en las siguientes áreas:

• Footprinting and Reconnaissance

• Scanning Networks
• Enumeration
• System Hacking
• Trojans
• Worms
• Virus
• Sniffers

 Ing. Daniel Maldonado

Unidad Temática 1 6

• Denial of Service Attacks

• Social Engineering
• Session Hijacking
• Hacking Web Servers
• Wireless Networks
• Web Spplications
• SQL Injection
• Crytography
• Penetration Testing
• Evading IDS
• Firewall and Honeypots

Gerente Certificado de Seguridad de la Información (CISM) por

ISACA

El CISM es el estándar aceptado globalmente para las personas que diseñan, construyen y gestionan
los programas de seguridad de la información empresarial.

CISM es la principal certificación para administradores de seguridad de la información. El último

índice trimestral de valoración de Habilidades y Certificaciones IT (ITSCPI) de Foote Partners
clasificó a CISM como la más codiciada y la que más se paga de las certificaciones de seguridad.

La certificación precisa acreditar conocimientos en cinco dominios de la seguridad de la

información

El examen consiste de 200 preguntas de opción múltiple que deben ser contestadas en 4 horas. El
examen está dividido en 5 áreas:

• Gobierno de la seguridad de la información

• Administración de riesgos de información
• Desarrollo de un programa de seguridad de información
• Administración del programa de seguridad de información
• Manejo y respuesta de incidentes

Profesional Certificado de Sistemas de Información de

Seguridad (CISSP) por ISC2

La certificación CISSP es un estándar reconocido a nivel mundial que confirma el conocimiento de

un individuo en el campo de la seguridad de la información. Los certificados en CISSP son
profesionales de la seguridad de la información que definen la arquitectura, el diseño, la gestión y/o
los controles que garantizan la seguridad de los entornos empresariales. Fue la primera certificación
en el ámbito de la seguridad de la información para cumplir con los estrictos requisitos de la norma
ISO/IEC 17024.

 Ing. Daniel Maldonado

Unidad Temática 1 7

La certificación CISSP no es muy fácil obtenerla. El candidato requiere tener al menos 5 años de
experiencia en al menos dos de los diez siguientes Common Body of Knowledge (CBK):

• Access Control
• Telecomunications and Network Security
• Information Security Governance
• Risk Management
• Software Development Security
• Cryptography
• Security Architecture and Design
• Operations Security
• Business Continuity
• Disaster Recovery Planning
• Physical Security
• Legal Regulations
• Investigations and Compliance

CompTIA Security +

CompTIA Security + es una certificación internacional de un proveedor neutral que demuestra la

competencia en la seguridad de red, el cumplimiento y seguridad operativa, amenazas y
vulnerabilidades, aplicaciones, seguridad del host y los datos, control de acceso y gestión de la
identidad y de la criptografía.

La certificación Security+ está reconocida por el U.S Department of Defend como requisito válido
para la certificación Information Assurance (IA).

El profesional que obtiene la certificación CompTIA Security+ posee habilidades y conocimientos

en las siguientes áreas:

• Cryptography
• dentity Management
• Security Systems
• Organizational Systems
• Security Risk Identification and Mitigation
• Network Access Control
• Security Infrastructure

7. Perfiles profesionales y trabajo

Hay muchas personas que trabajar en un barco: el capitán, el timonel, marineros, maquinistas,
artilleros, médicos, cocineros, etc.

 Ing. Daniel Maldonado

Unidad Temática 1 8

Pero hay un rol y una función que muy pocos conocer: el navegante. Su tarea consiste en leer las
cartas de navegación, saber la ubicación actual y exacta del buque, ver el clima, el estado de los
motores, el estado general del barco y de la tripulación y, fundamentalmente, saber dónde está el
puerto al que se quiere arribar, en qué tiempos (objetivos), el camino que se quiere seguir
(estrategia) y en qué estado se quiere llegar (valores). Su función es entender los riesgos a los que
está expuesto el barco, que puedan impedir la llegada a destino en las condiciones planteadas. E
informar de esto al capitán para que pueda tomar la mejor decisión.

El navegante no va en el timón, no está en las maquinas ni limpiando la cubierta. No tomas las

decisiones ni da las órdenes, sino que es parte integral del proceso de toma de decisión del barco.
Ésta es la principal función del oficial de seguridad. Ayudar a la gerencia y al directorio a evitar las
amenazas que les impidan lograr los objetivos planteados. No evitarlas por ello.

El método: conocer claramente los objetivos del negocio, sus estrategias, tácticas y valores. A partir
de ellos, realizar una análisis de riesgos, involucrado en él a la gerencia.

El resultado: la decisión correcta. Por lo tanto, comienza a aparecer de apoco el qué vendemos: Una
metodología de análisis de riesgos, lo suficientemente robusta, para que la gerencia pueda evaluar a
qué está expuesto el negocio y tomar la decisión correcta. Y sobre la base de esta decisión, un
proceso de implementación que nos permita asegurar razonablemente, que vamos a llegar a buen
puerto.

8. Eventos, congresos y Conferencias especializadas.

Les dejo un listado con algunas de las conferencias más importantes a nivel mundial, donde uno
tiene la posibilidad de asistir o ver en diferido mucho de los materiales que los ponentes e
investigadores dejan en cada presentación.

• DEFCON Hacking Conference www.defcon.org

• Black Hat www.blackhat.com
• RSA Conference www.rsaconference.com
• ekoparty security conference www.ekoparty.org
• DragonJAR Security Conference www.dragonjarcon.org
• MundoHacker day www.mundohackerday.com
• ESET SECURITY DAY www.esetsecuritydays.com/es/
• Navaja Negra www.navajanegra.com
• SEGURINFO www.segurinfo.org
• SEC/ADMIN www.secadmin.es
• PeruHack www.peruhack.org
• CharruaCon Security Conference charrua.org
• SASO Conf www.sasoconf.com.ar
• Andsec Security Conference www.andsec.org/es/
• OWASP Latam Tour www.owasp.org/index.php/LatamTour2017
• INFILTRATE - Security Conference infiltratecon.com
• BugCON www.bugcon.org
• PampaSeg www.pampaseg.org

 Ing. Daniel Maldonado

Unidad Temática 1 9

9. Objetivos básicos de la seguridad informática

a) Confidencialidad: Que la información llegue en cantidad, calidad y oportunidad sólo y a todos los
que está previsto.
El quiebre de la confidencialidad puede traer consecuencias en:

• pérdida de tecnología (espionaje industrial)

• trabas en el funcionamiento de la organización que puede llevar al caos
• pérdida de clientes
• pérdida de oportunidades
• pérdidas por acciones legales por no preservar secretos (bancos)
• descontento interno al conocerse parcialmente o deformadas las políticas (racionalización)
• pérdida de inversiones, por desconfianza en la seriedad de la empresa

b) Integridad: Se refiere a que la información producida tiene los contenidos en calidad y cantidad
con que fue diseñada (contrario a fraude).

Los efectos perjudiciales pueden ser mucho mayores que sobre la confidencialidad dado que puede
tardarse mucho tiempo en detectar el ataque (ejemplo: redondeos, descuentos a clientes).

c) Disponibilidad: Es la oportunidad en la cual se dispone de la información. Completa el concepto

de Integridad.

10. Gestión de la Seguridad

La gestión de la seguridad es un proceso amplio que incluye muchísimas tareas de distintas índole.
Como la administración de riesgos, el mantenimiento de políticas, la clasificación de la información
y la capacitación de los miembros de la organización. Por eso nos encontramos con una profesión
tan apasionante, que demanda de nosotros una gran variedad de conocimientos. Dentro de ella
podremos encontrar varias especializaciones, una de las cuales puede tener un foco más técnico o
más administrativo, pero que comparten los mismos fundamentos, los cuales debemos conocer a la
perfección si queremos garantizar la elección e implementación correcta de las medidas de
seguridad.

La única diferencia que debe existir entre unos y otros profesionales es el porcentaje de contacto
que tendrán con cada uno de los aspectos de la seguridad.

Dado que un gerente pasará más horas de su jornada redactando y analizando políticas, y que una
administrador analizará configuraciones de sistemas y redes durante la mayor parte de su tiempo,
ambos deber conocer en su totalidad las tareas por realizar.

11. Conceptos y definiciones

Cuando hablamos de gestión de la seguridad, es muy frecuente el uso de ciertos términos que, a
veces se intercambian incorrectamente y suelen prestarse a confusión.

 Ing. Daniel Maldonado

Unidad Temática 1 10

11.1 Principios del Hardening

11.1.1 Minimo Privilegio Posible

Esta regla se basa en ejecutar cada uno de los procesos de un sistema con sólo los privilegios
necesarios para que si esa parte queda comprometida el atacante obtenga los mínimos permisos
posibles. Por ejemplo, si la página Web del sitio público accede al motor de bases de datos con más
privilegios de los necesarios un atacante podría, si encuentra un fallo en la aplicación Web, acceder
a información sensible e incluso modificar datos en tablas críticas de otras bases de datos.

11.1.2 Minimo Punto de Exposición

Los servidores deben ejecutar sólo los procesos que son necesarios para el cumplimiento de sus
roles. Si un servidor no tiene ninguna impresora configurada, el servicio de spooler de impresión
debe ser deshabilitado. Esto permite que un servidor tan sólo pueda ser atacado por fallos que de
verdad le ataquen y no que quede comprometido por un software que no es necesario para su
funcionamiento.

11.1.3 Defensa en Profundidad

Este principio se basa en la suposición de que cualquier medida anterior ha podido fallar y debemos
proteger el sistema desde el punto actual. Es decir, un firewall protege el acceso al segmento de la
red y comprueba el usuario que accede a los datos de un servidor de archivos, pero en el servidor de
ficheros debemos volver a comprobar que el usuario tiene privilegios suficientes para poder acceder
a ellos.

Suponemos que el Firewall puede haber fallado y un atacante ha encontrado la forma de saltarse la
protección. La política de defensa en profundidad implica la aplicación de todas las medidas de
seguridad que se puedan aplicar sin deteriorar el rendimiento del sistema, pues hay que tener en
cuenta que la disponibilidad es una de las características de un sistema seguro y toda medida de
seguridad lleva un coste en tiempo que hay que evaluar.

11.2 El principio KISS

El principio KISS recomienda la implementación de partes sencillas, comprensibles y con errores

de fácil detección y corrección, rechazando lo complicado e innecesario en el desarrollo de una
solución.

Las cosas simples y fáciles de entender suelen tener muchas mejor aceptación que las complejas.

 Ing. Daniel Maldonado

Unidad Temática 1 11

11.3 Amenazas y Vulnerabilidades

Cuando hablamos de gestión de la seguridad es muy frecuente el uso de ciertos términos que, a
veces, se intercambian incorrectamente y suelen prestarse a confusiones. Por esa razón, les
propongo analizar con brevedad cada uno de ellos.

Activo es cualquier recurso de la empresa necesario para desempeñar las actividades diarias y cuya
no disponibilidad o deterioro supone un agravio o coste. La naturaleza de los activos dependerá de
la empresa, pero su protección es el fin último de la gestión de riesgos. La valoración de los activos
es importante para la evaluación de la magnitud del riesgo.

11.4 Vulnerabilidad

Es una debilidad en algún software, hardware o precedimiento que puede permitir a un atacante
realizar acciones que, normalmente no tiene permitidas. En general, tiene como raíz la ausencia o la
debilidad en uno o más controles.

11.5 Amenaza

Es cualquier peligro potencial sobre la información y/o los sistemas. La amenaza es alguien o algo
que aprovecha una vulnerabilidad existente y la utiliza para provicar un daño. Puede ser de tipo no
intencional (como errores humanos, tornados, terremotos, etc) o intencionales (ciberdelincuentes,
empleados furiosos, etc).

11.6 Exposición

Se refiere al impacto negativo que podriamos llegar a sufrir en caso de que la vulnerabilidad fuera
explotada. El término "Exposición" hace referencia al daño "probable" como "impacto".

11.7 Riesgo

Es el resultado de analizar la vulnerabilidad, la amenaza, la exposición y la probabilidad de

explotación.

11.8 Contramedida

Se utiliza para mitigar los riesgos. Puede ser una configuración de software, un dispositivo o
reduzca el riesgo de ocurrencia de que un agente de ataque explote dicha vulnerabilidad.

 Ing. Daniel Maldonado

Unidad Temática 1 12

Una vulnerabilidad puede ser explotada por una amenaza, hecho que generaría un
cierto grado de exposición. Esto representa un riesgo, que es mitigable a través de
contramedidas.

12. Gestión de riesgos

Evolución del riesgo informático en las distintas décadas:

‘70: seguridad en manos del System Programmer (una persona especilizada en Sistemas Operativos
de grandes equipos que se encarga de administrar la seguridad)

‘80: se difunde la PC. Se distribuye el procesamiento (Redes - Multitarea), la seguridad baja al

diluirse la responsabilidad entre muchos poseedores de la información y la facilidad con que pueden
procesarla sin conocimientos profundos. La relación autoridad – responsabilidad, que es básica en
una buena administración de cualquier organización, debe tomar formas distintas a riesgo de perder
su equilibrio

‘90: proliferan las redes LAN, los virus y aparece Internet; todo tiene un gran criterio comercial,
pero sin seguridad. Sólo a fines de los ’90 se le da real importancia a este tema, partiendo de la
Auditoría Informática en las entidades financieras

‘00: principalmente por los problemas con Internet se transforma la Seguridad Informática en una
necesidad. Se popularizan las medidas de prevención, cifrado, criptoanálisis, firma digital y las
autoridades de certificación aplicadas a las redes de ATM y el e-comerce.

‘10: Los riesgos se trasladas a la “nube” y los dispositivos móbiles que se utilizan a diario,
criptomonedas y las nuevas tecnologías.

‘20: La era de la inteligencia artificial y el uso de Big data?

Antes de pensar siquiera en implementar medidas de seguridad, debemos tomar acciones para
conocer a fondo nuestra infraestructura tecnológica. De este modo, podremos asignarles un valor a
los activos que la componen y así, definir nuestras prioridades y los recursos que vamos a invertir
para proteger cada uno de ellos.

13. Clasificación de la Información

Debemos recordar que la tecnología no es otra cosa que una herramienta que simplifica tareas y
optimiza procesos. Por eso el conocimiento de qué sistema son importantes para la organización
está ligado estrechamente a los procesos de negocio, los cuáles están a cargo de los directivos y
gerentes. Así que, para determinar cuáles son los sistemas más importantes, tendremos que
consultar a los altos mandos de la organización. Por supuesto, como analizamos anteriormente, las
consultas a los directivos deben realizarse teniendo en cuenta el lenguaje de nuestros interlocutor,
por lo que tendremos que hacerlas en una forma parecida a la siguiente:

• ¿Cuáles son las funciones principales del negocio?

 Ing. Daniel Maldonado

Unidad Temática 1 13

• ¿Cuáles son las tareas más importantes dentro de la organización?

• ¿Qué tarea no pueden interrumpirse?
• ¿Qué tareas puede ser interrumpidas durante muy poco tiempo?
• ¿Qué espera de su infraestructura tecnológica?

Esto nos da una idea del tipo de preguntas que debemos realizar, ya sea a través de cuestionarios o
de entrevistas personales.

Una vez que tengamos bien identificados los procesos de negocios críticos, debemos pasar a
describir nuestra infraestructura tecnológica. Para esto, podemos entrevistarnos con los encargados
de las áreas técnicas, que la mantienen y le dan soporte.

Los datos importantes acerca de la infraestructura tecnológica serán:

• Usuarios (tanto los que brindan soporte como los que utilizan)
• Topologías de la red actual (diagramas de la red)
• Flujo de información (conexiones con otros sistemas, internos y externos)
• Tareas del sector de IT (Copias de seguridad, mantenimiento, replicación de datos,
procedimientos para alta, baja y modificación de cuentas, etc)

Y para cada uno de los dispositivos registrados debemos tomar nota de:

• el propósito que cumple

• Hardware y Software
• Configuraciones
• Información que almacena y procesa
• Personas que la utilizan.

Es de vitar importancia poder conectar las respuestas obtenidas de la gerencia con el inventario de
activos de información, para determinar qué sistemas intervienen en el desarrollo de cada uno de los
procesos de negocio identificados como críticos. Con todos estos datos a nuestra disposición,
estaremos en condiciones de armar una tabla de activos y prioridades, la cuál vamos a necesitar para
completar las siguiente etapas del proceso de gestión.

14. Análisis Cualitativos vs Cuantitativos

Al clasificar cada activo de la organización, nuestro principal objetivo será asignarle un valor, que
refleje la importancia que tiene para nosotros.

Para esto, existen dos tipos de análisis; el cuantitativo, en el que asignamos valores monetarios a
cada uno de nuestros activos; y el cualitativo, en el cuál nos basamos en valores de una escala (por
ejemplo de 1 a 10) para reflejar la importancia que le otorgamos a cada uno.

Cada método tiene sus ventajas y desventajas. Podemos destacar, rápidamente, que los análisis
cuantitativos son más exactos y más fáciles de entender por la gerencia, pero requieren un trabajo
muchísimo mayor y una gran cantidad de cálculos. Por su parte los cualitativos se basan más en la
percepción de necesidad que tienen las personas sobre un activo, lo que los vuelve mucho más

 Ing. Daniel Maldonado

Unidad Temática 1 14

sencillos de realizar y, si bien pueden ser no tan exactos, conforma una excelente fuente de
información para la toma de decisiones. El tiempo de análisis que vayamos a utilizar dependerá de
cada uno de nosotros, según nuestros recursos y necesidades.

CUALITATIVO
Ventajas
- Requiere cálculos simples
- Es fácil de mantener
- Lleva menos tiempo de elaboración
Desventajas
- Los resultados son básicamente subjetivos
- No podemos obtener valores monetarios
- No existen estándares publicados
CUANTITATIVO
Ventajas
- Permite un mejor análisis costo-beneficio
- Es más entendible por la gerencia
- Puede automatizarse
Desventajas
- Los cálculos son mucho más complejos
- Sin automatización, es muy complicado
- Se necesita mucha trabajo previo
- No existen estádares publicados

¿Cómo se mide el nivel de riesgo?

El impacto nos indica las consecuencias de la materialización de una amenaza. El nivel de riesgo es
una estimación de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del
impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma.

IMPACTO x PROBABILIDAD = RIESGO

¿Qué hacer con los riesgos?

Las actividades cuyo objetivo es mantener el riesgo por debajo del umbral fijado se engloban en lo
que se denomina Gestión del riesgo. Las organizaciones que decidan gestionar el riesgo para
su actividad deberán realizar dos grandes tareas:

Análisis de riesgo Que consiste en averiguar el nivel de riesgo que la empresa está soportando. Para
ello, tradicionalmente las metodologías proponen que se realice un inventario de activos, se
determinen las amenazas, las probabilidades de que ocurran y los posibles impactos.

Tratamiento de los riesgos Para aquellos riesgos cuyo nivel está por encima del umbral deseado la
empresa debe decidir cuál es el mejor tratamiento que permita disminuirlos. Esta decisión siempre
ha de pasar un filtro económico donde el coste del tratamiento, o coste de protección, no supere el
coste de riesgo disminuido.

Para el tratamiento de riesgos las empresas cuentan, entre otras, con las siguientes opciones:

Evitar o eliminar el riesgo Por ejemplo sustituyendo el activo por otro que no se vea afectado por la
amenaza o eliminando la actividad que lo produce.

Reducirlo o mitigarlo Tomando las medidas oportunas para que el nivel de riesgo se sitúe por
debajo del umbral. Para conseguirlo se puede:
_reducir la probabilidad o frecuencia de ocurrencia: tomando, por ejemplo, medidas preventivas

 Ing. Daniel Maldonado

Unidad Temática 1 15

_reducir el impacto de la amenaza o acotar el impacto, estableciendo por ejemplo controles y

revisando el funcionamiento de las medidas preventivas

Transferirlo, compartirlo o asignarlo a terceros En ocasiones la empresa no tiene la capacidad de

tratamiento y precisa la contratación de un tercero con capacidad para reducir y gestionar el riesgo
dejándolo por debajo del umbral.

Aceptarlo Se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo bien en
situaciones en las que los costes de su tratamiento son elevados y aun siendo riesgos de impacto alto
su probabilidad de ocurrencia es baja o porque aun a pesar del riesgo la empresa no quiere dejar de
aprovechar la oportunidad que para su negocio supone esa actividad arriesgada.

15. Responsabilidades y roles

La seguridad informática tiene mucho que ver con las responsabilidades, debido a que nuestra tarea
es proteger.

A veces nos olvidamos de esto porque todo marcha bien, y seguramente lo recordaremos cuando
haga algún problema y alguien tenga que "pegar los platos rotos".

Una de nuestras principales tareas es no solo ser responsables de nuestros actos, sino también
recordarles a los demás que también tienen responsabilidades que cumplir.

Desde la alta gerencia hasta los empleados de más bajo rango, todos los integrantes de la
organización tienen distintas obligaciones que cumplir y también son responsables de velar por los
intereses comunes. Esto debe ser puesto en claro desde un primer momento para evitar confusiones
y malentendidos que más tarde pueden ser catastróficos, tanto para la empresa como para las
personas que la componen.

16. Planes de concientización

Es bien sabido que el personal técnico y relacionado con la seguridad informática deben recibir un
entrenamiento constante, para estar actualizado en cuanto a las últimas medidas de seguridad y las
nuevas tendencias.

Pero no siempre se tiene en cuenta que la seguridad informática es un tema que abarca a las
organizaciones en su totalidad y es por eso que cada uno de sus miembros debe tener las nociones y
los fundamentos de seguridad bien presentes.

Muchas de las vulnerabilidades e incidentes de seguridad ocurren por negligencia de los usuarios.
Pero esto no quiere decir que la culpa sea de los propios usuarios, sino más bien de los responsables
de la organización, que no vieron la importancia de capacitarlos correctamente.

Es por eso que debemos tener en cuenta la necesidad de desarrollar un programa de capacitaciones
dirigido específicamente a los usuarios finales, para educarlos y que sepan exactamente cómo
comportarse y reaccionar ante cualquier actividad sospechosa.

La formación mas efectiva de brindar estás capacitaciones es ponerlas a disposición de los usuarios
de manera online y hacer que luego ellos tengan que rendir un pequeño exámen de preguntas al

 Ing. Daniel Maldonado

Unidad Temática 1 16

azar, para demostrar que han prestado atención al contenido visto y esta seguros de que lo han
entendido.

También es bueno enviar noticias y consejos de seguridad periódicamente, no tanto con la

esperanza de que los empleados los sigan al pie de la letra, sino para que nos tengan presentes en
todo momento y sepan que estamos para ayudarlos.

17. Fuga de información

Se denomina fuga de información al incidente que pone en poder de una persona ajena a la
organización, información confidencial y que sólo debería estar disponible para integrantes de la
misma.

Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no.
Algunos ejemplos de fuga de información pueden ser desde un empleado vendiendo información
confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un
documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida
de una laptop o un pen drive, así como también el acceso externo a una base de datos en la
organización o un equipo infectado con un Spyware que envíe información a un delincuente.

Todos estos incidentes tienen un punto en común como se indicó en la definición: información de la
organización termina en manos de un tercero, que no debería tener acceso a la misma.

La información expuesta puede ser de cualquier índole: un listado de empleados con datos
personales, listado de salarios, base de datos de clientes o una fórmula o algoritmo secretos, por
citar algunos ejemplos.

Es difícil medir el impacto de la fuga de información pero puede ser muy diverso, especialmente
según la intencionalidad del incidente. En aquellos casos en que se trata de un accidente no
intencional, el impacto en la empresa dependerá de qué ocurre con el nuevo poseedor de esa
información. Si se supone que un gerente de la empresa pierde una computadora portátil, el impacto
puede ser nulo si quién la encuentra ignora la información que allí se contiene y formatea el
sistema; o puede ser alto si el nuevo poseedor identifica los datos y los utiliza para publicarlos,
comercializarlos o cualquier otra acción dañina.

Por otro lado, en los incidentes intencionales (es decir, maliciosos) el impacto está más claro: esa
información puede ser utilizada para realizar un ataque a la organización, para venderse, para
hacerse pública o para afectar la reputación o imagen de la organización. En cualquiera de los casos
la fuga de información se caracteriza por ser un incidente que difícilmente pueda ser reparado o
realizar algún procedimiento que permite “volver atrás” la situación.

Algunos estudios afirman la importancia de este tipo de incidentes en un esquema de seguridad.

Según el 2009 CSI Computer Crime and Security Survey, un 15% de las empresas encuestadas
sufrieron accesos no autorizados a la información por integrantes de la organización, y un 14%
sufrieron acceso de personas ajenas a la empresa. Además, un 42% sufrieron el robo o pérdida de
equipos portátiles. Sumados al 6% que sufrió acceso no autorizado a información protegida por
propiedad intelectual por pérdida de equipos móviles y al 8% que sufrieron el acceso no autorizado

 Ing. Daniel Maldonado

Unidad Temática 1 17

de otro tipo a material protegido por la propiedad intelectual, son todos incidentes que aplican a la
fuga de información.

Por otro lado, un estudio reciente de Intel, que ya comentamos en el blog, analiza el costo promedio
para una empresa al perder una laptop. El mismo afirma que la mayor pérdida monetaria está
asociada a la pérdida por violación de datos. Esto certifica que la fuga de información posee un
impacto importante a considerar por cualquier organización.

18. Ingeniería social

La primera de las dos definiciones es la considerada de la “vieja escuela” y una de las más
conocidas:

Se define el conjunto de técnicas psicológicas y habilidades sociales, utilizadas de forma consciente

y muchas veces premeditada, para la obtención de información de terceros. Es así que podemos
decir entonces que es el aprovechamiento de los conocimiento de las personas para convencerlas de
que ejecuten acciones o actos que puedan revelar información, sin la utilización de herramienta más
que el contacto directo o telefónico con la persona. Por lo general, un ataque de ingeniería social
debe su éxito a fallas por parte del factor humano o bien de los procedimiento internos de las
empresa.

Más allá de ser una interesante definición, veamos cuál es la definición de la “nueva escuela”:

Es el arte de engañar a las personas para convencerlas de que ejecuten las acciones o actos que el
atacante necesite para lograr cumplir su cometido, utilizando técnicas psicológicas y habilidades
sociales de manera consciente y premeditada para la obtención de información de terceros, ya sea
valiéndose de herramientas (como teléfono, el e-mail, internet, carta o cualquier medio de
comunicación) o no, a través de las relaciones interpersonales o a través de la investigación en
sistemas y repositorios de información pública. Como característica esencial, un ataque de
ingeniería social resulta exitoso por fallas humanas, por falta de procedimiento internos eficaces,
normalemente asociado a la falta de clasificación de la información y a la capacitación del personal
sobre la base de dicha clasificación y sus cuidados.

19. Seguridad Activa y Pasiva

Seguridad Activa: es aquella cuyas medidas tienen como objetivo anular o reducir los riesgos
existentes o sus consecuencias para el sistema.

Seguridad Pasiva: es aquella que prepara al sistema para el caso en que el desastre que amenazaba
el riesgo se haya producido; ejemplo, sistemas de back-up.

Cuadro general de amenazas y medidas a tomar en Seguridad Activa y Pasiva

AMENAZAS SEGURIDAD ACTIVA SEGURIDAD PASIVA

- Formación o capacitación - Controles de asiduidad de
Errores humanos - Asignación adecuada de los errores para producir el
permisos de acceso a los datos. reemplazo de personal

 Ing. Daniel Maldonado

Unidad Temática 1
Robo o alteración de la
información del sistema
- Utilización de canales seguros - Cambio en el cifrado y en los
Robo o alteración de la - Disponibilidad de canales
información en la transmisión alternativos
- Cifrados confiables
Robo de los Equipos
Fallo en el suministro eléctrico
Desastre natural
Recepción de Información
Falsa
Sabotaje de los Equipos
Sabotaje de la Información
Virus

- Autenticación de los usuarios - Cambio de cifrado
- Elección de claves seguras y - Estudio de los registros de
mantenimiento en secreto
- Asignación adecuada de los
permisos de acceso a los
objetos
- Establecer alarmas sobre
eventos
- Utilizar programas de bloqueo
cuando haya que dejar el
sistema desatendido
canales en uso
- Acceso restringido a los
equipos
- Fijación de equipos a soportes - Anotar modelos y números de
- Revisión y control de redes
- Líneas de suministro
alternativo
- Estudios geo – meteorológicos
de la zona
- Estudio del lay-out de los
centros de cómputos
- Autenticación de la
información mediante firmas
digitales
- Acceso restringido a los
equipos
- Acceso restringido al sistema
- Asignación adecuada de los
permisos de acceso a objetos
- Usar programas de bloqueo
- Acceso restringido a los
equipos
- Control sobre los programas
18
auditoría
- Copias de seguridad
- Equipos de reserva
serie
- Revisión de las presencias en
la sala
- Marcación de los equipos
- UPS
- Supresores de picos de tensión
- Generación propia de energía
eléctrica
- Copias de seguridad
- Almacenamiento los BU en
ignífugos
- Tener equipos de reserva
- Asegurar los equipos
- Cambios en el cifrado
- Equipos de reserva
- Copias de seguridad
- Revisión de las presencias en
la sala
- Consultar registros de
auditoría
- Copias de seguridad
- Revisión de las presencias en
las terminales
- Copas de Seguridad
Ing. Daniel Maldonado
Unidad Temática 1 19

introducidos
- Antivirus residente
actualizado

20. Arquitectura y modelos de Seguridad

Cuando se construye un edificio, el proyecto empieza con el diseño de los planos, luego, se
construye la base y el resto del edificio, con cada puerta y ventana en su lugar, como está
especificado en los planos. A continuación, los inspectores verifican que el edificio esté bien
construido y la cantidad de veces que aparece la palabra “planos”? ¡Es porque son muy
importantes!

Muchas veces las organizaciones toman “el camino corto” y empiezan a instalar aplicaciones de
seguridad y a poner pegamento en los puerts USB para bloquearlos. El problema no está en lo
precario de aplicar el pegamento, sino en lo inútil de trabajar sin saber hacia dónde queremos ir.

Lo que debemos hacer es empezar por tener una idea amplia y poco específica de lo que queremos
obtener. Luego, sobre la base de estas ideas, pasaremos a trabajar en los detalles de las tareas que
vamos a realizar para alcanzar los objetivos fijados.

El siguiente paso es desarrollar e implementar las guías, estándares y procedimiento que van a
soportar las ideas generales escritas inicialmente.

A medida que avanzamos en el proceso, vamos siendo cada vez más específicos, pero siempre con
los objetivos principales en mente, hata llegar a definir cada una de las configuraciones necesarias
para complir con nuestras metas.

Es importante trabajar con estas metodología, porque eso hace que no necesitemos realizar cambios
drásticos ni rediseñar grandes partes de nuestros planes. Al principio, puede parecer que este
enfoque lleva más tiempo y trabajo, pero, a medida que avancemos, notaremos que es el enfoque
más sencillo, práctico y acertado.

Un programa de seguridad debe estar soportado y dirigido por la alta gerencia, para luego ser
distribuido hacia abajo en el árbol jerárquico, hasta alcanzar a toda la organización.

Este enfoque se conoce como desde arriba hacia abajo. De esta forma, es fácil que toda la
organización sea contagiada con los conceptos propuestos, y así se logre un trabajo armonioso y
cooperativo. Este es el enfoque indica si consideramos que la seguridad de la información debe ser
prioridad dentro de los objetivos de la organización, que son definidos, como cualquier otro, por la
alta gerencia.

 Ing. Daniel Maldonado